?大數據文摘出品

ChatGPT很好玩，但是終于是出問題了。

作為一款幾乎全能的語言類AI，ChatGPT可以回答各種問題、可以幫你寫文章，還能幫你寫代碼。

等等，寫代碼？

如果有人想讓ChatGPT寫一個惡意代碼去攻擊別人，結果會怎么樣？

近期，安全研究員、 Picus Security的聯合創始人Suleyman Ozarslan博士最近成功使用ChatGPT創建了一段釣魚代碼，居然還是世界杯主題的。

我們一起來看看。

如何使用ChatGPT創建勒索軟件和釣魚電子郵件

“我們從一個簡單的練習開始，看看 ChatGPT 是否能創建一個可信的釣魚活動，結果確實如此。我輸入了一個提示，寫了一封世界杯主題的電子郵件，用于仿真網絡釣魚，它在幾秒鐘內創建了一個完美的英語電子郵件?！盨uleyman Ozarslan說。

Ozarslan給ChatGPT提示說，他是一個模擬攻擊攻擊的安全研究員，他們想開發一個模擬釣魚攻擊的工具，請幫忙寫一個關于世界杯的釣魚郵件來模擬釣魚攻擊。

于是，ChatGPT就真的寫了一段。

也就是說，雖然ChatGPT認識到“網絡釣魚攻擊可能被用于惡意目的，并可能對個人和組織造成傷害”，但它仍然生成了電子郵件。

在完成這個練習之后，Ozarslan要求ChatGPT編寫Swift代碼，在MacBook上加密 Office 文件之前，這個代碼可以在MacBook上找到微軟Office文件并通過HTTPS發送到網絡服務器。

很順利的，ChatGPT的解決方案生成了示例代碼，并且沒有任何警告或提示。

Ozarslan的研究實踐表明，網絡犯罪分子可以很容易地繞過OpenAI的保護，比如將自己定位為研究人員，來模糊他們的惡意意圖。

網絡犯罪數量的上升使天平失衡

由上面的例子可以看出，從網絡安全的角度來看，OpenAI的創造帶來的核心挑戰是，任何人，無論其技術專長如何，都可以根據需要創建生成惡意軟件和勒索軟件的代碼。

雖然ChatGPT確實也為安全團隊提供了積極的好處（比如AI篩查郵件），但也確實降低了網絡犯罪分子的進入門檻，有可能加速威脅領域的復雜性，而不是減少這種復雜性。

例如，網絡犯罪分子可以利用人工智能來增加野外網絡釣魚威脅的數量，這不僅已經讓安全團隊不堪重負，而且只需要成功一次就能造成損失數百萬美元的數據泄露。

IRONSCALES電子郵件安全供應商Lomy Ovadia研發部門的CVP表示：“在網絡安全方面，ChatGPT提供給攻擊者的東西遠遠多于攻擊目標。”

Ovadia說:“對于商業電子郵件攻擊(BEC)來說尤其如此，這種攻擊依賴于使用欺騙性內容來冒充同事、公司VIP、供應商甚至客戶?！?/p>

Ovadia認為，如果CISO和安全領導者依靠基于策略的安全工具來檢測AI/GPT-3生成內容的釣魚攻擊，那么他們將被淘汰，因為這些AI模型使用先進的自然語言處理(NLP)來生成幾乎不可能與真實例子區分開來的騙局電子郵件。

例如，今年早些時候，新加坡政府科技署(Government Technology Agency)的安全研究人員創建了200封釣魚電子郵件，并將點擊率與深度學習模型GPT-3創建的電子郵件進行了比較，發現點擊人工智能生成的釣魚電子郵件的用戶比人類用戶多。

好消息是什么？

雖然生成式 AI 確實給安全團隊帶來了新的威脅，但它也提供了一些積極的用例。例如，分析人員可以在部署之前使用該工具檢查開放源代碼中的漏洞。

“今天，我們看到有道德的黑客使用現有的人工智能來幫助編寫漏洞報告，生成代碼樣本，并識別大型數據集的趨勢。這一切都在說，當今人工智能的最佳應用是幫助人類做更多人類的事情?！盚ackerOne的解決方案架構師Dane Sherrets說。

然而，試圖利用ChatGPT這樣的生成式AI解決方案的安全團隊仍然需要確保充分的人工監督，以避免潛在的問題。

盡管ChatGPT所代表的進步令人興奮，但技術尚未發展到完全自動運行。對于人工智能的運作，它需要人類的監督，一些手工配置，并不總是能夠依靠絕對最新的數據和智能來運行和訓練。

正是出于這個原因，Forrester 建議實現生成式人工智能的組織應該部署工作流和治理來管理人工智能生成的內容和軟件，以確保其準確性，并減少發布帶有安全或性能問題的解決方案的可能性。

不可避免的是，ChatGPT這樣的AI的真正風險將取決于攻防雙方在AI戰爭中誰能更有效地利用自動化。

相關報道：https://venturebeat.com/security/chatgpt-ransomware-malware/